security:firewalls

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
security:firewalls [2006/12/10 23:10] stsecurity:firewalls [2009/11/25 15:48] (aktuell) st
Zeile 1: Zeile 1:
 +====== Firewalls ======
 +Eine [[wpde>Firewall]] (von engl. firewall [ˈfaɪəwɔːl] „die Brandwand“), auch Sicherheitsgateway, Netzwerk-, oder Hardware-Firewall genannt, ist eine Netzwerk-Sicherheitskomponente in der Computertechnik, die Netzwerkverkehr anhand eines definierten Firewall-Regelwerks erlaubt oder verbietet. Das **Ziel einer Firewall** ist, den Datenverkehr zwischen Netzwerksegmenten mit verschiedenen Vertrauens-Stufen abzusichern. Ein typischer Einsatzzweck ist es, den Übergang zwischen einem lokalen Netzwerk (LAN) (hohes Vertrauen) und dem Internet (kein Vertrauen) zu kontrollieren.
  
 +{{security:firewall2_hash_0x89c79d4_01.png?100|Firewall Symbolbild}}
 +===== Links =====
 +  * [[http://www.heise.de/security/artikel/82054|Wie Skype & Co. Firewalls umgehen]]
 +
 +===== Firewalltypen =====
 +
 +
 +
 +==== Netzwerk-Firewalls ====
 +
 +Üblicherweise wird ein Gerät [[wpde>Firewall#Netzwerk-Firewall|Netzwerk- oder Hardware-Firewall]] genannt, wenn es sich um ein dediziertes Gerät handelt, das mindestens zwei Netze voneinander trennt. Diese Geräte sind auch üblicherweise mit dem Begriff „Firewall“ gemeint. Die Hardwarekomponente besitzt mehrere Netzwerkschnittstellen (üblicherweise zwischen 3 und 20), an denen jeweils die zu trennenden Netze angeschlossen sind. Dabei unterscheidet man grob drei Netzwerkzonen:
 +
 +  - externe Netze (WAN), meist das Internet, aber auch Kundennetze. Diese gelten als nicht vertrauenswürdig (kein Vertrauen).
 +  - die sogenannte demilitarisierte Zone (DMZ), in der vom externen Netz aus erreichbare Server beherbergt sind (wenig Vertrauen).
 +  - das interne Netz (LAN), welches als vertrauenswürdig gilt (hohes Vertrauen).
 +
 +==== Personal Firewalls ====
 +Eine [[wpde>Personal Firewall]] ist eine Software, die den ein- und ausgehenden Datenverkehr eines PCs auf dem Rechner selbst filtert.
 +
 +  * [[http://www.theparallax.com/index.html|Personal Firewalls]]
 +  * [[http://ulm.ccc.de/ChaosSeminar/2004/12_Personal_Firewalls|Chaosseminar: Personal Firewalls]]
 +  * [[http://fx3.org/faq/personal_firewalls.php|Personal Firewalls :: Pro & Contra]]
 +
 +===== Firewall-Technologien =====
 +
 +==== Paketfilter ====
 +Die einfache Filterung von Datenpaketen anhand von Ziel-Port, Quell- und Ziel-Adresse ist die Grundfunktion aller Netzwerk-Firewalls. Die Prüfung erfolgt anhand eines vom Firewall-Administrator definierten Regelwerks.
 +
 +Oft leicht zu umgehen, da man auf geöffnete Ports ausweichen kann.
 +
 +==== Stateful Inspection ====
 +Unter [[wpde>Stateful Packet Inspection]] versteht man eine dynamische Paketfiltertechnik, bei der jedes Datenpaket einer bestimmten aktiven Session zugeordnet wird.
 +
 +
 +==== Web Application Firewall ====
 +Eine [[wpde>Web Application Firewall]] beachtet zusätzlich zu den reinen Verkehrsdaten wie Quelle, Ziel und Dienst noch den Inhalt der Netzwerkpakete (Schicht 7 / Applikationsschicht des [[wpde>OSI-Modell|ISO-OSI-Modell]]).
 +
 +
 +===== Linux / BSD =====
 +  * [[Linux:Iptables]]
 +  * [[http://freshmeat.net/projects/m0n0wall/|m0n0wal]]
 +
 +==== Firewall-Generatoren ====
 +
 +  * gufw (Generatur für ufw)
 +  * [[software:bastille]]
 +  * [[http://freshmeat.net/redir/easyfwgen/29681/url_homepage/easyfwgen.morizot.net|fw-gen]]
 +  * [[http://security.linux.com/article.pl?sid=05/01/03/2250258|Securing your workstation with Firestarter]]
 +  * [[http://software.newsforge.com/article.pl?sid=05/05/09/1846213|Three tools to help you configure iptables]]
 +  * kmyfirewall
 +
 +
 +
 +===== LiveCDs =====
 +Interessant ist dabei z.B. die [[http://www.alti.at/knowhow/obsdlivecd/fw.php|OpenBSD Live-CD Firewall]]. Enthalten sind:
 +
 +^ Programm ^ Beschreibung ^
 +| arpd | ARP Proxy Server |
 +| arping | Ping on MAC Layer |
 +| arpwatch | detects ARP spoofing |
 +| dante |SOCKS Proxy Server |
 +| dnsmasq |DNS & DHCP server |
 +| honeyd |[[wpde>Honeypot]] |
 +| isc-dhcp-server |DHCP Server |
 +| logsurfer |Logfile analyser |
 +| ntop |Network traffic analyser |
 +| ntp |Time synchronisation |
 +| pfstat |graphical Firewall statistics |
 +| pftop |real-time Firewall status |
 +| portsentry | Port knocking daemon |
 +| scanlogd | detects portscans |
 +| squid |HTTP Proxy Server |